Összefoglaló
A Trojan:Win32/Kilim.D egy rosszindulató program, amely önmagától nem képes terjedni.
A trójai segítségével a rosszindulatú támadó több művelet végrehajtására is felhasználhatja a fertőzött számítógépet.
Leírás
Trojan:Win32/Kilim.D másolja magát a c:documents and settingsadministratorapplication datainstall_flashsetup.exe.
A program módosítja a regisztrációs adatbázis az alábbi bejegyzésekkel, hogy automatikusan induljon:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunadobeflash=”c:documents and settingsadministratorapplication datainstall_flashsetup.exe
A program létrehozza a következő fájlokat a számítógépen:
- c:documents and settingsadministratorlocal settingsapplication datagooglechromeuser datadefaultpreferences
c:documents and settingsadministratorlocal settingstempchromepref.txt
c:documents and settingsadministratorlocal settingstempoperapref.txt
c:documents and settingsadministratorlocal settingstemppref.txt
c:documents and settingsadministratorlocal settingstempyandexpref.txt
A program letiltja az LUA-t (Least Privileged User Account) a következő regisztrációs bejegyzéssel:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA=”0″
Az LUA kikapcsolása miatt az összes program rendszergazda jogosultsággal képes futni a felhasználó tudta nélkül.
Megoldás
Naprakész vírusírtó telepítése.
Támadás típusa
Privilege escalation (jogosultság kiterjesztés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.microsoft.com